A fost observată o creștere semnificativă a activității de scanare care vizează portalurile de conectare GlobalProtect de la Palo Alto Network, cercetătorii fiind îngrijorați că ar putea fi un preludiu al unui atac sau al unei exploatări a unei eventuale vulnerabilități încă nedescoperite raportează BleepingComputer.
GlobalProtect VPN este un produs al Palo Alto Network care oferă conexiuni sigure la rețea, indiferent de locul în care se află utilizatorul atunci când se conectează. Palo Alto GlobalProtect VPN oferă posibilitatea de a vă păstra datele în siguranță atunci când vă conectați la rețea companiei de la distanță.
Potrivit GreyNoise, care raportează incidentul, activitatea de scanare implică peste 24.000 de adrese IP sursă unice. Activitatea a atins apogeul la 20.000 de adrese IP unice pe zi pe 17 martie 2025 și a continuat la această scară până pe 26 martie.
GreyNoise Enterprise este o platformă de securitate cibernetică care colectează și analizează datele de scanare și atac la nivel de internet pentru a oferi informații valoroase asupra potențialelor amenințări.
Dintre aceste IP-uri, 23.800 sunt clasificate drept „suspecte”, în timp ce 154 au fost validate de firma de monitorizare a amenințărilor ca „malițioase”, lăsând puține îndoieli cu privire la adevăratele intenții ale activității.
Majoritatea încercărilor de scanare provin din Statele Unite și Canada. Cele mai multe sisteme vizate se bazează în Statele Unite, deși sunt vizate și alte țări.
GreyNoise a remarcat că, în trecut, astfel de vârfuri în scanarea rețelei au fost legate de recunoașterea pregătitoare, care a fost în cele din urmă urmată de dezvăluirea defectelor două până la patru săptămâni mai târziu.
„În ultimele 18 până la 24 de luni, am observat un model consistent de țintire deliberată a vulnerabilităților mai vechi sau a încercărilor de atac și recunoaștere bine utilizate împotriva unor tehnologii specifice”, afirmă Bob Rudis, VP Data Science la GreyNoise.
„Aceste tipare coincid adesea cu noi vulnerabilități care apar 2 până la 4 săptămâni mai târziu.”
GreyNoise a subliniat consecvența modului în care se desfășoară activitatea de scanare, sugerând că aceasta ar putea face parte dintr-un efort de testare a apărării rețelei înainte de a încerca exploatarea țintită.
Cercetătorii au găsit, de asemenea, o legătură cu o altă activitate pe care au observat-o recent, referitoare la un crawler PAN-OS care a crescut și pe 26 martie 2025, implicând 2.580 de IP-uri în scanările sale.
GreyNoise a remarcat că activitatea amintește de campania de spionaj pe care Cisco Talos a atribuit-o hackerilor „ArcaneDoor” în urmă cu aproximativ un an, vizând dispozitivele din rețele de comunicații.
În acest moment, natura și obiectivele exacte ale acestei activități pe scară largă rămân neclare, dar concluzia pentru administratorii sistemelor Palo Alto Networks expuse la internet ar trebui să fie creșterea vigilenței lor față de încercări de sondare și potențiale tentative de exploatare.
GreyNoise recomandă revizuirea jurnalelor de log-uri de la jumătatea lunii martie pentru a evalua dacă ați fost vizat, să căutați semne de compromitere, să întărească portalurile de conectare și să blocați IP-urile rău intenționate cunoscute (partajate în raport).
